Facebook推特領(lǐng)英電子郵件更多的遠(yuǎn)程桌面協(xié)議(RDP) 是 Microsoft 的專有通信協(xié)議，它允許運(yùn)行任何操作系統(tǒng) (OS) 的設(shè)備進(jìn)行遠(yuǎn)程連接。IT 管理員可以使用 RDP 遠(yuǎn)程診斷員工的問題，同時(shí)允許他們?cè)L問公司資源。盡管是專有的，但一些 RDP 規(guī)范是開放的，任何人都可以使用它們來擴(kuò)展協(xié)議的功能并在需要時(shí)滿足組織要求。

在過去幾年中，RDP 攻擊（利用 RDP 的漏洞攻擊系統(tǒng)的違規(guī)行為）顯著增加，威脅參與者利用暴露的端口在許多組織的網(wǎng)絡(luò)上安裝勒索軟件。鑒于遠(yuǎn)程和混合工作場(chǎng)所的大量增加，這并不奇怪。我們將詳細(xì)了解 RDP 攻擊、RDP 用例以及組織如何減輕風(fēng)險(xiǎn)。

RDP 妥協(xié)的細(xì)分

現(xiàn)在，控制遠(yuǎn)程連接的斗爭(zhēng)比以往任何時(shí)候都更加集中在一個(gè)地方：傳輸控制協(xié)議 (TCP) 端口 3389。這是所有 RDP 連接的默認(rèn)端口，通過加密通道為遠(yuǎn)程用戶提供網(wǎng)絡(luò)訪問。要了解如何保護(hù)組織免受 RDP 攻擊，必須弄清楚這種攻擊是如何展開的。

假設(shè)您的組織分布有數(shù)百甚至數(shù)千臺(tái)連接到企業(yè)網(wǎng)絡(luò)的設(shè)備。典型的 RDP 攻擊可以通過以下階段危害企業(yè)網(wǎng)絡(luò)：

1. 初始入侵。在這個(gè)階段，攻擊者開始弄清楚如何通過掃描端口 3389 來滲透網(wǎng)絡(luò)。如果任何連接到網(wǎng)絡(luò)的活動(dòng)設(shè)備的 RDP 端口打開，它就會(huì)作為網(wǎng)絡(luò)的入口點(diǎn)。鑒于大多數(shù)活動(dòng)設(shè)備會(huì)受到大量 RDP 連接的影響，任何威脅行為者都可以通過此端口強(qiáng)行進(jìn)入網(wǎng)絡(luò)，而不會(huì)被安全工具標(biāo)記。
2. 內(nèi)部偵察。在最初的妥協(xié)之后，攻擊者可以開始使用設(shè)備自己的子網(wǎng)掃描整個(gè)網(wǎng)絡(luò)以升級(jí)滲透。例如，攻擊者可以通過分布式計(jì)算環(huán)境 (DCE)/遠(yuǎn)程過程調(diào)用 (RPC) 向多個(gè)端點(diǎn)發(fā)起 Windows Management Instrumentation (WMI) 連接并開始觸發(fā)攻擊。
3. 命令與控制。攻擊者使用受感染的設(shè)備向其他端點(diǎn)和網(wǎng)絡(luò)發(fā)送命令。例如，使用管理身份驗(yàn)證 cookie，他們可以使用受感染的機(jī)器創(chuàng)建到非標(biāo)準(zhǔn)端口的新 RDP 連接。
4. 橫向運(yùn)動(dòng)。在這個(gè)階段，攻擊者通過獲得更高的權(quán)限來檢索敏感數(shù)據(jù)和其他高價(jià)值資源，從而深入企業(yè)網(wǎng)絡(luò)。例如，他們可以利用 WMI、PsExec 和 svcctl 等 Windows 管理工具，在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，同時(shí)避開組織安全堆棧的檢測(cè)。

RDP 用例

RDP 有三個(gè)主要用例：

• 遠(yuǎn)程故障排除。IT 管理員可以利用該協(xié)議來診斷和解決員工面臨的設(shè)備和應(yīng)用程序問題。
• 遠(yuǎn)程桌面訪問。組織可以利用 RDP 向員工提供應(yīng)用程序和文件，員工可以從任何位置訪問這些資源。
• 遠(yuǎn)程管理。IT 管理員可以利用該協(xié)議對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行配置更改。

如何減輕您的風(fēng)險(xiǎn)并保護(hù)您免受 RDP 攻擊

除非得到充分保護(hù)，否則 RDP 很容易成為想要在企業(yè)網(wǎng)絡(luò)中立足、提升權(quán)限和竊取機(jī)密數(shù)據(jù)的網(wǎng)絡(luò)犯罪分子的網(wǎng)關(guān)。盡管微軟已經(jīng)多次升級(jí)協(xié)議，但 RDP 仍然存在弱點(diǎn)。讓我們探討一下IT 團(tuán)隊(duì)可以采取哪些措施來減輕 RDP 攻擊的風(fēng)險(xiǎn)：

• 實(shí)施基于角色的訪問控制 (RBAC) 限制。工人應(yīng)該只訪問完成工作所必需的資源。IT 管理員可以基于多種因素實(shí)施訪問控制，包括職責(zé)、權(quán)限和工作能力。
• 始終為 RDP 啟用網(wǎng)絡(luò)級(jí)身份驗(yàn)證 (NLA)。與任何系統(tǒng)一樣，用戶應(yīng)始終在啟動(dòng)遠(yuǎn)程桌面會(huì)話之前進(jìn)行身份驗(yàn)證。因此，您應(yīng)該只允許來自通過傳輸層安全 (TLS) 協(xié)議運(yùn)行帶有 NLA 的 RDP 的端點(diǎn)的連接。
• 限制對(duì) RDP 端口的訪問。您應(yīng)該將對(duì)端口 3389 的訪問限制為特定主機(jī)或一組受信任的 Internet 協(xié)議 (IP) 地址，并允許連接到特定設(shè)備。這意味著服務(wù)器不應(yīng)允許來自未列入白名單的 IP 地址的任何連接。
• 監(jiān)控 RDP 利用率。您應(yīng)該仔細(xì)檢查 RDP 的持續(xù)使用情況并標(biāo)記任何異常行為。例如，如果您意識(shí)到來自特定端點(diǎn)的登錄嘗試失敗，您應(yīng)該立即將其標(biāo)記出來。
• 啟用自動(dòng) Microsoft 更新。啟用更新和升級(jí)可確保您擁有適用于客戶端和服務(wù)器軟件的最新版本的 RDP。您還應(yīng)該優(yōu)先為已知的公共漏洞修補(bǔ) RDP 漏洞。
• 實(shí)施帳戶鎖定政策。當(dāng)在 RDP 中實(shí)施時(shí)，帳戶鎖定策略使?jié)撛诘暮诳秃茈y破壞合法帳戶，并且可以幫助防止憑證填充、暴力攻擊和憑證盜竊。此外，它們還有助于保護(hù)用戶的帳戶和數(shù)據(jù)。
• 強(qiáng)制使用強(qiáng)密碼和多重身份驗(yàn)證 (MFA)。始終要求用戶利用強(qiáng)用戶名和密碼進(jìn)行 RDP 訪問。您還應(yīng)該強(qiáng)制執(zhí)行 MFA，尤其是對(duì)于通過 RDP 訪問公司系統(tǒng)的管理帳戶。

了解 RDP 軟件和網(wǎng)絡(luò)安全

由于對(duì)遠(yuǎn)程和混合工作場(chǎng)所的需求不斷增加，許多RDP 軟件供應(yīng)商已經(jīng)出現(xiàn)，以提供滿足現(xiàn)代勞動(dòng)力需求的各種解決方案。RDP 軟件允許 IT 團(tuán)隊(duì)連接到多個(gè)異構(gòu)端點(diǎn)并訪問資源，同時(shí)使用戶能夠訪問企業(yè)資源。讓我們探索這些解決方案擁有的一些基本網(wǎng)絡(luò)安全功能。

• 身份和訪問管理 (IAM) 功能。RDP 解決方案僅允許授權(quán)用戶通過實(shí)施網(wǎng)絡(luò)訪問控制、MFA 和單點(diǎn)登錄 (SSO) 機(jī)制來訪問企業(yè)資源。
• 加密通信。RDP 解決方案可以通過 TLS 等協(xié)議對(duì)通道進(jìn)行加密，以防止未經(jīng)授權(quán)的訪問。
• 合規(guī)標(biāo)準(zhǔn)。RDP 軟件必須遵守監(jiān)管標(biāo)準(zhǔn)，例如通用數(shù)據(jù)保護(hù)條例 (GDPR) 和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)。
• 可靠的更新周期。RDP 解決方案必須具有可預(yù)測(cè)的補(bǔ)丁周期，以消除已知漏洞和錯(cuò)誤。